AntiHacker

Специалисты компании Sucuri сообщили, что новый баг в популярной CMS

Специалисты компании Sucuri сообщили, что новый баг в популярной CMS

Специалисты компании Sucuri сообщили, что новый баг в популярной CMS привлек внимание хакеров, и сайты дефейсят со скоростью 3000 страниц в день.

Напомню, что свежая уязвимость была устранена с выходом WordPress 4.7.2, еще 26 января 2017 года. Баг обнаружили специалисты компании Sucuri, и они описывают его как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1. Однако публичное раскрытие информации о проблеме состоялось только неделю спустя, так как разработчики хотели, чтобы как можно больше сайтов спокойно установили обновления.

Уязвимость позволяет неавторизованному атакующему сформировать специальный запрос, при помощи которого можно будет изменять и удалять содержимое любого поста на целевом сайте. Кроме того, используя шорткоды плагинов, злоумышленник может эксплуатировать и другие уязвимости CMS, которые обычно недоступны даже пользователям с высокими привилегиями. В итоге атакующий может внедрить на страницы сайта SEO-спам, рекламу, и даже исполняемый PHP-код, все зависит от доступных плагинов.

Теперь специалисты компании WordFence сообщают, что с новой уязвимостью «развлекаются» как минимум 20 хакерских групп и скомпрометировано уже более 1,5 млн страниц.

Читать полностью

Добавить комментарий